martes, 4 de octubre de 2022

Windows Privesc - Unquoted Service Path – La verdadera Isla de las Tentaciones

Vamos a hacer el símil con el programa, La Isla de las Tentaciones, de la cadena Telecinco.

Los participantes

En un ordenador en el que acabamos de comprometer, hemos descubierto un sistema en el que tenemos acceso con un contexto de usuario o servicio no privilegiado.

Primero de todo como buen curioso y cotilla buscaremos, entre el montón de archivos que tiene la gran mayoría de los usuarios en el escritorio del ordenador alguno que se llame contraseñas.txt. Dado que todos los días no es Reyes y que no siempre se encuentran ficheros interesantes, disponemos a apagar la tele y empezar a enumerar el sistema con la finalidad de escalar los privilegios.

Hay diversas herramientas que enumeran automáticamente distintas formas de escalar privilegios en un sistema Windows. Una de las escaladas más comunes es Unquoted Service Path.

jueves, 29 de septiembre de 2022

Internet Security Auditors mentores, un año más, del National CyberLeague GC 2022





Este año se celebra la IV edición de la Liga de Retos en el Ciberespacio (National CyberLeague GC 2022) organizada por la Guardia Civil. La NCL es una iniciativa de Seguridad Interior para poner en valor el talento juvenil de los estudiantes desde una visión pluridisciplinar de la ciberseguridad.

La forma elegida para alcanzar los objetivos establecidos es la puesta en marcha de una competición para jóvenes universitarios y de formación profesional, donde los participantes tienen la oportunidad de potenciar su talento, de una forma eminentemente práctica, que les permitirá acercarse al enfoque real de la ciberseguridad que se persigue tanto en el sector público, como en la empresa privada.

Auditar código fuente y no morir en el intento

¿Te han asignado una auditoría de código y no sabes por dónde empezar? Estás en el lugar correcto. Pero antes, ¿Sabes qué es una auditoria de código y en qué consiste?

Siguiendo la definición de la Guía de revisión de código de OWASP, "la revisión del código es una forma de ayudar a garantizar que la aplicación se ha desarrollado de manera que se "autodefienda" en su entorno determinado". Es decir, debemos realizar las comprobaciones pertinentes para verificar que están presentes los controles lógicos y de seguridad adecuados, que funcionan como se pretende y que se han invocado en los lugares correctos.

martes, 20 de septiembre de 2022

Internet Security Auditors estará en la XVI Edición de ENISE el Encuentro Internacional de Seguridad de la Información más importante del sector

Un año más se celebrará en el Palacio de Exposiciones de León, los días 19 y 20 de octubre una nueva edición del ENISE (Encuentro Internacional de Seguridad de la Información) una cita ineludible en el sector de la ciberseguridad nacional e internacional, que se ha convertido año tras año en un punto de encuentro clave para la industria de un sector en constante crecimiento.

Este año, en Internet Security Auditors tenemos la gran oportunidad de participar como sponsors y, además, nos podrás encontrar en nuestro stand en la zona expositiva, junto a otros expertos en materia de ciberseguridad.

Para más información del evento:
https://www.incibe.es/enise

lunes, 5 de septiembre de 2022

¡Bienvenido sea el IIN (BIN) de 8 dígitos! ¿Qué implicaciones conlleva, y cómo afecta al cumplimiento con PCI DSS 3.2.1 y 4.0?

NOTA: la fecha de edición de este artículo fue el pasado 05 de abril de 2022. Durante este tiempo, podría haber cambios nuevos no introducidos en el presente artículo.

Introducción

Este artículo trata sobre la ampliación del valor del IIN, y las implicaciones que esto conlleva para el cumplimiento con el estándar PCI DSS en sus versiones v3.2.1 y v4.0. A lo largo de estos últimos meses, las marcas de pago han ido modulando su posicionamiento original. Además, el PCI SSC ha publicado la nueva versión de PCI DSS, la 4.0, y también ha actualizado el contenido de varias FAQ utilizadas como referencia.  Por todo ello, ha sido necesario crear un nuevo artículo que se adapte a la realidad actual.

Antes de entrar en el tema de fondo, es necesario hacer una pequeña introducción con el fin de explicar las partes que conforman el Primary Account Number (PAN), o Número de Cuenta Primario.

viernes, 19 de agosto de 2022

ISecAuditors seleccionada de nuevo para el GEAR 2022-24 del PCI SSC

El GEAR (Global Executive Assessor Roundtable) se creó el año 2018, fecha desde la cual hemos formado parte de este grupo internacional de asesores, para obtener recomendaciones y aportaciones de los altos directivos de las empresas de asesoría de seguridad de pago acreditadas por el PCI SSC. Esta iniciativa ha permitido a los altos ejecutivos de las empresas asesoras en Normas PCI de todo el mundo proporcionar asesoramiento, retroalimentación y orientación al PCI SSC sobre las cuestiones y preocupaciones relacionadas con las evaluaciones y los programas de evaluación, representando las perspectivas de las regiones y clientes dónde y con los que trabajan.
 
Internet Security Auditors es una de las 14 empresas que forman parte del GEAR desde su creación, renovando su participación en sus 3 convocatorias. El año 2018 el GEAR se creó con 20 empresas, el 2020 se amplió a 28 miembros y este año se ha reducido en un miembro. Esta renovada participación demuestra el posicionamiento y relevancia en el entorno de Normas PCI de la compañía, gracias a lo cual el PCI SSC lleva contando con nosotros más de 4 años para participar es este grupo de expertos, donde aportamos nuestra experiencia de más de 15 años en las diferentes Normas PCI.
 
Más información en el microsite de GEAR del PCI SSC:
https://www.pcisecuritystandards.org/get_involved/global_executive_assessor_roundtable

lunes, 23 de mayo de 2022

Este junio estaremos en la RSA Conference 2022 en San Francisco (USA)



El próximo 6 de junio se celebrará en San Francisco (USA) una nueva edición de la RSA Conference, el foro mundial más importante de la industria de la ciberseguridad, un lugar para debatir las preocupaciones actuales y futuras y tener acceso a los expertos, y a ideas que ayuden tanto a individuos como empresas a avanzar en temas de ciberseguridad construyendo equipos más fuertes e inteligentes.

lunes, 16 de mayo de 2022

Vicente Aguilera miembro del jurado en los Trofeos de la Seguridad TIC de la revista Red Seguridad

Un año más la revista Red Seguridad celebrará este 30 de junio en Madrid una nueva edición de sus Trofeos de la Seguridad TIC. Estos prestigiosos galardones se entregarán en el marco del XIV Encuentro de la Seguridad Integral.

Primera empresa iberoamericana QSA con homologación para realizar proyectos en el continente asiático

Como empresa especialista en el estándar PCI DSS, y gracias a nuestra experiencia como QSA, hemos empezado a trabajar, a través de nuestros aliados en USA, con clientes que tienen presencia en India y Filipinas, ampliando así nuestra experiencia hacia nuevos sectores y países.

miércoles, 11 de mayo de 2022

Novedades de la actualización del Esquema Nacional de Seguridad de 2022

Fuente: CCN-CERT

El Boletín Oficial del Estado (BOE) publicó el pasado 4 de Mayo el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS). Este RD actualiza el ENS derogando el anterior de 2010, vigente hasta la fecha. Entró en vigor al día siguiente de su publicación en el BOE el pasado 5 de Mayo, estableciendo un período de transición de 24 meses para la plena adecuación de los sistemas de información preexistentes, y siendo de aplicación desde su concepción para los nuevos sistemas de información.


A continuación, podéis encontrar un resumen de sus principales novedades:

  • Perfiles de cumplimiento específicos. Estos nuevos perfiles serán validados y publicados por el Centro Criptológico Nacional (CCN) organismo adscrito al Centro Nacional de Inteligencia (CNI). Permitirán a determinadas entidades o sectores de actividad concretos, respecto a la declaración de aplicabilidad inicial para una categoría determinada y el preceptivo análisis de riesgos, implementar un conjunto de medidas de seguridad que podrá diferir de las que le corresponderían en un inicio del Anexo II.
  • Acreditación de entidades de implementación de configuraciones seguras. De forma análoga a los perfiles, el CCN también validará y publicará los nuevos esquemas de acreditación de entidades y validación de personas, que garantizarán la seguridad de las soluciones o plataformas de terceros y su conformidad respecto al ENS.
  • Protocolo de actuación ante ciberincidentes. El CCN pasa a articular la respuesta a los incidentes de seguridad en torno al CCN-CERT. Las entidades del sector público deberán notificar al CCN aquellos incidentes que tengan un impacto significativo en la seguridad de sus sistemas de información, de acuerdo con la correspondiente Instrucción Técnica de Seguridad Resolución de 13 de abril de 2018. Y las organizaciones del sector privado que presten servicios a entidades públicas deberán notificar al INCIBE-CERT los incidentes que les afecten, el cual a su vez lo pondrá en conocimiento del CCN-CERT.
  • Sistema de codificación de los requisitos de las medidas de seguridad. El nuevo sistema codifica los requisitos de las medidas y los organiza diferenciando entre los requisitos base preexistentes, y los posibles refuerzos de seguridad (R) que se suman (+) a los respectivos requisitos base. Dichos refuerzos no siempre son incrementales, de forma que en ciertos casos se podrá elegir entre aplicar un refuerzo u otro distinto.
  • Anexo II Medidas de Seguridad. El Anexo sufre algunos cambios relevantes como la incorporación de los nuevos controles [op.ext.3] Protección de la cadena de suministro y [op.ext.4] Interconexión de sistemas, el nuevo grupo de control [op.nub] Servicios en la nube y control [op.nub.1] Protección de servicios en la nube, así como los nuevos controles [op.mon.3] Vigilancia y [mp.eq.4] Otros dispositivos conectados a la red. También se realizan cambios menores como la centralización de todos los controles relativos a Medios alternativos en [op.cont.4]. A su vez entre los controles que se mantienen, aumentan considerablemente su nivel de exigencia [op.acc.1] Identificación, [op.exp.2] Gestión de seguridad, [op.exp.3] Gestión de la configuración de seguridad, [op.exp.6] Protección frente a código dañino, [op.exp.8] Registro de la actividad, [op.pl.4] Dimensionamiento/gestión de la capacidad, [op.mon.1] Detección de intrusión, [op.mon.2] Sistema de métricas y [mp.sw.2] Aceptación y puesta en servicio.

Referencias


Autor: Carlos Antonio Sans - ISO 27001 L.A., ISO 22301 L.A., CISA, CRISC, CISSP, ENAC-AEPD DPD
Dpto. Consultoría

martes, 26 de abril de 2022

Como gestionar una vulnerabilidad crítica en un entorno de PCI DSS: Ejemplo log4j

El objetivo de este artículo es describir un time-line de gestión de una vulnerabilidad crítica alineado con los requisitos de PCI DSS 3.2.1. Es importante comentar que no hay una única manera de gestionar vulnerabilidades alineadas con PCI DSS, pero sí que todas ellas deben contener al menos los puntos de control identificados en este artículo.

El siguiente esquema nos muestra, a alto nivel, los procedimientos de gestión que intervienen en la gestión de una vulnerabilidad crítica, alineado con los requisitos de PCI DSS.

viernes, 8 de abril de 2022

Crónica III Foro Regional ISMS Forum Barcelona

Fuente: ISMS Forum

Este año hemos tenido la oportunidad de poder asistir a la tercera edición del Foro Regional ISMS Forum Barcelona, organizado por ISMS Forum el pasado 17 de Marzo en la Casa Convalescència de la Universitat Autonònoma de Barcelona (UAB). En el Track 1: Cyber Security Strategy Toni Garcia, Board Member ISMS Forum Barcelona, dio inicio a la jornada dando la bienvenida a los más de 300 participantes en la primera edición presencial del foro desde el comienzo de la pandemia, y celebrando el 15 aniversario de ISMS Forum este enero de 2022.

A continuación, podéis encontrar un resumen de las principales ponencias que se llevaron a cabo en los Track 1 y 2 del evento.

miércoles, 6 de abril de 2022

Cambios en OWASP Top 10 2021

OWASP publicó el pasado 24 de septiembre de 2021 un nuevo listado de vulnerabilidades para el Top 10 de aplicaciones web. En él ha introducido varios cambios a la hora de clasificar los principales riesgos y en qué orden van en la lista, con el objetivo de que las vulnerabilidades que llevan 3 ediciones del top 10 en la misma posición, se clasifiquen de otra manera.

martes, 5 de abril de 2022

Nuestras últimas apariciones en medios

En estas últimas semanas nuestro responsable de ciberinteligencia Carlos Seisdedos ha estado muy ocupado. Varios medios han querido contar con él como experto.

Os dejamos un resumen de sus apariciones/participaciones:
📌1/04 – 120 minutos de programa de telemadrid:
https://bit.ly/3Kh2zZA

📌1/04 – ETB2 (EITB) (Portal de la radio-televisión pública vasca):
https://bit.ly/3jaoyp5

📌5/04 – Todo es Verdad programa de TV de Risto Mejide:
https://bit.ly/3LJH0Rx

📌Próximamente... -> Entrevista para HackerCar: Ciberseguridad vinculada a la automoción y la movilidad.
https://bit.ly/37lHcaF


Desde aquí queremos aprovechar para agradecer la confianza depositada en nuestro equipo para colaborar con medios tan destacados y felicitar a Carlos por sus logros!


jueves, 31 de marzo de 2022

Novedades de PCI DSS en la Versión 4.0

El PCI SSC ha venido trabajando desde finales del 2019 en una actualización del estándar PCI DSS que nos trae una serie de actualizaciones y novedades que desde hace algún tiempo han venido pidiendo tanto los QSA como los comercios y proveedores de servicio con el ánimo de hacer más claros algunos requerimientos, generar nuevos lineamientos en temas que eran áreas grises y la actualización o evolución de algunos requisitos mínimos a la realidad actual. Todos estos cambios buscan atender los cambios en la evolución de los riesgos a los que están expuestos los datos de las tarjetas de pago en el mercado actual.

lunes, 21 de marzo de 2022

Análisis de Riesgos Extendido para SSF

Con la evolución de las diferentes normativas y estándares dentro de la industria de la ciberseguridad, cada vez se va extendiendo de una forma más clara la importancia de implementar unas metodologías de análisis de riesgos que sirvan como base para la protección de los denominados activos críticos.

Siguiendo esta tendencia, el PCI SSC ha querido incorporar estas metodologías dentro de la "actualización" del estándar PA-DSS, el cual ha sido remplazado completamente por el estándar PCI SSS dentro del marco PCI SSF (podéis encontrar más información en este artículo de comparativa y en este otro artículo de análisis de la transición entre ambos estándares).

Para tratar de explicar todos los conceptos y detalles que intervienen en estos mecanismos de protección del software basados en los “análisis de riesgos extendido para PCI SSF” seguiremos varias implementaciones ya instauradas en la industria, como pueda ser las metodologías STRIDE o DREAD, siempre enfocadas al cumplimiento de los requerimientos descritos en el requisito 4 del estándar PCI SSS.

jueves, 17 de marzo de 2022

Novedades en la actualización del Estándar ISO/IEC 27002:2022

El ciclo de vida establecido para la familia de estándares ISO está definido para que cada uno de los estándares sean revisados cada cinco años con el objetivo de alinearlos a la realidad en que están inmersas las empresas que los usan como marco de referencia para asegurar su información. Sin embargo, este ciclo no estuvo sincronizado en el caso de los estándares ISO/IEC 27001 e ISO/IEC 27002 que en el 2013 fueron publicadas en la misma fecha, generando algunos problemas en la concordancia entre estos estándares, veamos:

  • La ISO/IEC 27001:2013 fue publicada el 25 de septiembre de 2013, fue revisada y confirmada el 3 de junio de 2019, dejando como válida la versión del 2013.
  • La ISO/IEC 27002:2013 fue publicada el 25 de septiembre de 2013, sin embargo, su revisión fue publicada el 15 de febrero de 2022, casi dos años y medio después de la revisión de la ISO/IEC 27001.

De ahora en adelante simplificaremos la mención a los estándares ISO/IEC sólo por el número de dicho estándar con el objetivo de facilitar su lectura a lo largo de este artículo.

jueves, 3 de marzo de 2022

Mapfre amplia la certificación PCI DSS de su Centro de Procesos de Datos de Alcalá de Henares

Cualquier organización que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de pago queda afectada por el cumplimiento de los requerimientos que establece la Norma PCI DSS.

En Internet Security Auditors, como empresa acreditada por el PCI SSC a través de su certificado QSA nos enorgullece poder entregar la Certificación PCI DSS (Payment Card Industry Data Security Standard) a una gran empresa como Mapfre.

miércoles, 23 de febrero de 2022

Participamos en la II Edición de las Jornadas STIC Capítulo Colombia

Nos complace anunciar nuestra participación en la segunda edición de las Jornadas STIC Capítulo Colombia. Este año la organización ha querido contar nuevamente con la participación de nuestro responsable de ciberinteligencia Carlos Seisdedos, que dará su ponencia Ciberinteligencia para CSIRTs el 17 de marzo.

Por segundo año consecutivo, las Jornadas STIC Capítulo Colombia reunirán a referentes y expositores de las tendencias de ciberseguridad a nivel internacional en una jornada de tres días con el objetivo de impulsar y visibilizar las actividades y mecanismos de cooperación de los organismos y empresas de Latinoamérica y España y así fortalecer la ciberseguridad en el ámbito internacional.

Queremos extender nuestro agradecimiento a la organización (CCN-CERT, OEA, CSIRT Americas Network), por contar con nosotros para participar en este multitudinario e importante evento.

Más información e inscripciones:
https://www.ccn-cert.cni.es/iijornada-colombia.html

viernes, 11 de febrero de 2022

Jugando con Bettercap (Man in the Middle)

¿Qué es un ataque Man in the Middle?

Ocurre cuando un atacante puede interceptar o manipular tráfico entre dos partes conocidas como víctima y receptor.

La víctima es aquella persona que envía un mensaje a otro individuo esperando una respuesta, mientras que el receptor es la parte que recibe la información para luego analizarla y responder a la solicitud enviada.

El atacante aparte de interceptar todos los datos que son enviados entre las dos partes podría llegar a manipular los datos para obtener información confidencial, modificar transferencias bancarias e incluso suplantar la identidad ya sea de la víctima o el receptor.

A continuación, te muestro un ejemplo gráfico en donde el usuario 1 se intenta comunicar con el usuario 2 y un atacante ubicado en el medio podrá interceptar toda la comunicación, tanto de uno como del otro.

miércoles, 2 de febrero de 2022

Dispositivos IoT al alcance de todos, incluso de los malos

Bueno como ya bien sabéis, vivimos en un mundo donde cada vez estamos más conectados con los dispositivos físicos y sistemas electrónicos. En muchos de nuestros hogares seguro que contamos con muchos dispositivos “inteligentes” y “conectados” que prometen aumentar la comodidad y mejorar el ahorro de la energía.

Explicando un poco que es el famoso IoT o el Internet de las cosas con sus siglas “Internet of things” lo podríamos definir como la interconexión digital de los dispositivos u objetos con internet.

martes, 1 de febrero de 2022

Internet Security Auditors patrocinadores, un año más de CIBERSEG 2022


Los próximos días 3 y 4 de febrero se celebra una nueva edición de las Jornadas de Seguridad y Ciberdefensa (CIBERSEG22) y desde Internet Security Auditors queremos contribuir en este gran evento como patrocinadores.

Este año, debido a la situación sanitaria por la COVID-19, Las Jornadas se celebrarán en formato online.

El objetivo de estas jornadas es la promoción y la difusión de temas relacionados con la seguridad y la ciberdefensa en el ámbito universitario. Para ello, se han programado un conjunto de charlas relacionados con temas de interés en este ámbito, que se impartirán el día 3 de febrero.

Y el día 4 de febrero estará dedicado a la realización de Talleres, que también será online y tendrán un aforo limitado.

Más información e inscripciones en el siguiente enlace:
https://ciberseg.uah.es/